新農合與醫院網絡數據安全交換方案探討

陳燕峰

摘 要： 探討了如何有效增強新農合與醫院網絡之間數據交換的安全性，提升信息系統的服務能力。建立一套由新農合管理和控制的安全防護機制，通過五控兩防兩隔離，全面掌握信息控制權。采用“網閘+網關+終端安全系統”的解決方案，實現新農合網絡與醫院內部網絡與間的網絡隔離斷開與數據的擺渡交換。通過新農合與醫院網絡數據交換的安全防護方案的實施，可以有效降低網絡安全風險，進一步提升新農合和醫院信息系統的服務水平。

關鍵詞： 新農合； 數據交換； 擺渡交換； 安全防護； 隔離

中圖分類號：TP399 文獻標志碼：A 文章編號：1006-8228（2014）04-15-02

Abstract： How to efficiently increase the security of data exchange between new rural cooperative medical service （NCMS） and hospitals， and how to enhance service capabilities of information system are discussed. A security mechanism managed and controlled by the NCMS is established， with five ways to control， two ways to defend and two ways to isolate， controlling information entirely. Applying the scheme of “gatekeeper + gateway + terminal security system”， network isolation between the NCMS and hospital intranets， and ferry exchange of data are realized. After the new data exchange security scheme between the NCMS and hospitals is realized， the security risk will be reduced efficiently and the service quality of the NCMS and hospital information system will be improved further.

Key words： new rural cooperative medical service （NCMS）； data exchange； ferry exchange； security； isolation

0 引言

隨著新型農村合作醫療（以下簡稱：新農合）逐步推進，新農合病人到醫院就診可以實時結算，新農合網絡與醫院內部網絡之間的數據交換日趨頻繁。據調查，大部分新農合網絡與醫院內部網絡有直接或間接相連，卻沒有采取可靠的安全防護措施。如何確保新農合與醫院網絡之間數據交換的安全性，已經成為一個重大的課題擺在了新農合與醫院信息化建設主管部門的桌面上。

1 新農合網絡現狀

新農合制度是我國特有的一種醫療保障制度，與人民群眾的健康息息相關，新農合正在廣泛推行實時結算、異地就醫結算。以浙江省桐鄉市新農合為例，桐鄉的新農合不僅在桐鄉市范圍內實現實時聯網結報，而且還與嘉興市、杭州市、上海市等大中城市的定點醫院實現異地就醫實時結算。目前，按照國家信息安全等級保護要求[1]，新農合網絡定級為三級，三級網絡在網絡結構、訪問控制、安全審計、邊界完整性檢查、入侵防范等方面都做了嚴格要求，如要求在網絡邊界部署訪問控制設備，對進出網絡的信息內容進行過濾，對用戶訪問進行身份認證，對非授權設備私自聯到網絡的行為進行檢查等，以確保網絡穩定運行。

2 新農合與醫院網絡接口

每個縣市的新農合系統都是一個大型復雜的計算機網絡信息系統，新農合信息中心與當地的醫院、社區衛生服務站等單位相連，交換醫療信息數據。為了便于管理和維護，新農合信息中心都會對外提供統一的網絡接入和“數據交換接口”。由于各單位情況不同，接入方式包括直連專線接入、撥號專線接入和基于公網的VPN接入等多種形式；“數據交換接口”是一套軟件或動態鏈接庫，醫院、社區衛生服務站等單位的應用程序統一通過這套接口與新農合中心進行數據交換[2]。

目前，新農合網絡與醫院內部網絡數據交換方式基本上采用前置機模式，即在新農合網絡和醫院內部網絡之間放置一臺前置，雙方的數據交換通過前置機上的“軍事緩沖區（DMZ）”來完成，互相不進入對方的網絡，前置機軟件由新農合信息中心提供和維護。醫院的HIS系統通過調用新農合提供的函數接口與前置機建立連接，將新農合病人的數據傳輸到前置機上，再由前置機傳輸到新農合信息中心。如圖1所示。

3 安全風險分析

雖然新農合網絡被定級為三級網絡，不能直接與國際互聯網相連，各醫院、社區衛生服務站等單位只能通過專線或專網接入新農合網絡，但接入單位多，接入網絡復雜，網絡管理水平參差不齊，而目前大部分醫院內部網絡通過前置機直接連接新農合網絡，存在安全隱患[3]。主要的安全風險可以概括為“三個不可控”。

3.1 網絡安全環境不可控

新農合網絡是一個異常復雜的網絡環境，雖說接入該網絡需要新農合管理機構批準，但因為接入機構繁多，所以整個網絡可以說并不在新農合的控制和管理之下，與各醫療機構相連存在安全隱患。

3.2 網絡范圍不可控

醫院、社區衛生服務站、鄉鎮街道、銀行等單位都需要接入新農合網絡，接入終端數量多、分布廣，難于管理，給病毒、木馬傳播提供了便利的途徑。

3.3 主機安全不可控

放置在新農合網絡與醫院內部網絡之間的前置機，在實際工作中是存放在醫院端運行和保管的。因該機器的位置特殊性，并沒有部署防火墻、IPS等對其進行保護，所以該機器存在較大的被入侵可能，若將此機器作為跳板，就可以監聽/竊取/破壞病人就醫資料了。

4 安全解決方案

4.1 實現目標

新農合網絡與醫院內部網絡互聯中主要的安全風險在于：沒有可控的安全策略，缺乏對網絡安全包括信息安全交換方面的主導權。因此，在新農合網絡與醫院內部網絡之間，需要建立一套由新農合管理和控制的安全防護機制[4]，這套機制要求達到如下目標。

⑴ 網絡邊界的隔離防護。實現邊界安全隔離，隔離醫院內部網絡，禁止醫院內部網絡未經授權主機就擅自訪問新農合網絡。

⑵ 嚴格的授權訪問控制。采用強認證技術，防止非授權的醫院內部網絡終端訪問前置機、訪問新農合網絡。

⑶ 非法外聯控制。防止木馬程序以醫院內部網絡為跳板連接新農合前置機，監聽、獲取重要數據。

⑷ 網絡入侵防御。采用網絡邊界和終端入侵防護技術，保護新農合前置機數據交換過程中不受惡意代碼感染、駐留，不被遠程主機控制和連接。

⑸ 訪問行為強審計。審計所有對新農合數據庫的訪問請求，對試圖訪問敏感信息的行為進行阻斷和報警。

4.2 設計思路

五控兩防兩隔離，全面掌握信息控制權。五控：外網到內網的訪問控制、內網到外網的訪問控制、通信協議及內容控制、通信對象控制、新農合終端訪問范圍控制；兩防：防止外網暴力攻擊、防止內網主動泄露；兩隔離：新農合網絡與醫院內部網絡安全隔離、新農合終端與醫院終端隔離。

4.3 解決方案

采用“網閘+網關+終端安全系統”的解決方案，實現新農合網絡與醫院內部網絡與間的網絡隔離斷開與數據的擺渡交換。即在醫院內部網絡與新農合前置機間加裝符合安全認證要求的安全隔離與信息交換系統（網閘）和安全網關，并在需訪問新農合前置機的醫院內部網絡終端上安裝安全控制軟件。網閘、網關與終端安全系統相結合且相互聯動，構成動態的防御體系。

4.4 技術先進性

4.4.1 采用隔離網閘實現網絡安全隔離和防御外網暴力攻擊

隔離網閘采用獨特的硬件架構，能夠實現新農合網絡與醫院內部網絡與之間TCP/IP的網絡斷開。當鏈路斷開后，外網無法與醫院內部網絡任何主機進行網絡連接，也就無法攻擊主機，從而實現新農合網絡與醫院內部網絡在連接過程中不受來自其他設備的各類網絡層、操作系統層網絡攻擊。如圖2所示。

4.4.2 采用多因素身份認證機制實現嚴格的訪問控制

采用三位一體強認證技術實現可信的身份鑒別，能夠嚴格控制醫院內部網絡與新農合網絡之間的訪問活動，禁止除新農合前置機外的任何外網節點訪問醫院內部網絡，禁止任何外網主機直接訪問醫院HIS等核心服務器，禁止醫院終端向除新農合前置外的任何其他IP地址發起訪問，限制醫院能夠訪問新農合前置機的終端數量。動聯身份認證訪問機制如圖3所示。

對新農合所有數據庫訪問的內容進行審計數據中心部署數據庫審計和數據訪問控制系統[5]，對所有數據庫訪問請求進行事先防范、事中授權、審批和及時通知、事后審計的全面數據保護授權和審計。

5 結束語

本文探討了通過實施一套新農合與醫院網絡數據交換的安全防護方案，有效降低了網絡安全風險。該方案可以將網絡安全環境、網絡范圍、主機安全的風險掌握在一定的可控范圍內，從而進一步提升新農合和醫院信息系統的服務水平。

參考文獻：

[1] 尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理，2012.9（5）：19-23

[2] 汪永琳，丁一.基于HL7的醫療數據集成及系統設計[J].通訊技術，2009.42（12）：176-177

[3] 倪寧.區域衛生信息平臺安全分析[J].中國衛生信息管理，2013.10（3）：244-247

[4] 王晨旭，李剛榮，吳昊.淺談醫院信息安全管理[J].中國衛生信息管理雜志，2011.8（5）：33-35

[5] GB/T 20988-2007.信息安全技術信息系統災難恢復規范[S].